个人观点,一再强调风险管理和内部控制的关系,是由于前些年COSO把他们搞的太像
了,非常容易混淆两项工作的范围和界限,但又不好意思直说自己原来存在的问题,所
以采取的还是比较温和的描述二者关系的方式。
优化了风险偏好和容忍度的概念
10
新框架重新定义风险偏好和风险容忍度的概念,风险偏好大致保留了原来的定义,即主
体在追求战略和业务目标的过程中愿意承受的风险量。而风险容忍度不再理解为风险偏
好的细化或具体化,而是用绩效的语言来表达。在风险概况图中,用风险偏好和绩效线
垂直相交来表示二者的关系,具体关系见第7点图示。
通过重新定义风险容忍度,可以更加明确的表明在给定的绩效目标下应该承担多少风
险,组织可以清晰的看出当前绩效下的可接受风险的边界。这些边界可以让组织评估绩
效的变化是否在可接受的范围。让我们不再孤立的看风险和绩效,而需要看两个之间的
相互关联和互相影响。
五大误解
自2004年COSO第一版企业风险管理框架发布以来,COSO对过去十几年出现的对原始
框架的一些误解进行了澄清:
一、企业风险管理并不是仅只一种职能或部门,而是一种与公司战略制定与实施相整合
的文化、能力和实践,旨在利用风险管理创造、保持和实现价值。
二、企业风险管理不仅是风险的罗列。它要求的远不止于对公司内部风险进行罗列,而
是管理层用于积极管理风险的一项更为广泛并包含实践的工作。
三、企业风险管理远不止于内部控制。它还涉及其他主题,如战略制定,治理,与利益
相关者沟通,以及绩效评估。其原则适用于组织的各个层面和职能。
四、企业风险管理不是一张检查表。它是一套可适用于具体企业的原则,是一套监督、
学习、改进绩效的体系。
五、企业风险管理适用于任意规模的企业。任何具有使命、战略和目标,并且在做决策
时需要充分考虑风险,都能运用企业风险管理。企业风险管理能够并应当被应用于任何
类型的企业,从小公司到社区企业,到政府机构乃至世界500强公司。 |
|
